新三線模型、流程治理與內審數智化建設的協同路徑

中圖分類號：F239；F270

一、引言

隨著信息技術迅猛發展和大數據時代的到來，審計環境正經歷著前所未有的深刻變革。審計對象信息化程度持續攀升，審計證據逐漸以電子數據為主導形態，審計方式也正向數字化審計的方向加速轉型。在此過程中，大數據、人工智能等前沿技術正改變著企業的治理模式，通過端到端流程治理重塑業務流程，實現戰略匹配與價值驅動，進而提升整體管理效率。與此同時，國際內部審計師協會（ⅡIA）提出的三線模型，也從傳統“三線防御”體系向強調“平衡風險與價值創造”的新模式演進，內部審計從合規導向轉向戰略協同。鑒于這一背景，本研究分析了新三線模型與信息化技術的深度融合機制，旨在豐富風險管理理論體系，為企業內審數智化轉型提供參考，助力實現審計全覆蓋與實時預警，為內部審計在公司戰略目標實現、價值創造等方面提供全新視角和思路。

二、新三線模型的發展演進

新三線模型是國際內部審計師協會（IIA）對原有三道防線模型進行修訂后推出的新模型。三道防線理論最早出現在歐洲風險管理協會聯合會（FERMA）和歐洲內部審計協會聯合會（ECIIA）。

2010年，2個聯合會聯合發布了《董事會和審計委員會執行第8號公司法指令第41-2b條款指南》（以下簡稱《指南》），為董事會和審計委員會就公司內部控制、內部審計和內部監督等方面提供了指導[1]。《指南》指出，三道防線中的第一道防線由運營管理部門和內部控制組成，旨在通過采取有效的內部控制措施來評估、控制和降低風險；第二道防線由風險管理職能部門負責，其內部包含風險管理部門、合規部門和其他部門，共同促進并監督運營管理部門高效地執行風險管理策略，并責成其提交風險管理相關信息；第三道防線由內部審計部門擔當，該部門需遵循風險導向原則，獨立評估公司風險管理的有效性，并對前兩道防線所執行的風險管理工作給出客觀公正的評價。在三道防線理論提出后，FERMA和ECIIA相繼發布了一系列文件，涵蓋意見函、立場公告及研究報告等多種形式，進一步闡釋和補充了該理論在實際應用場景中的具體運用。

2013年，IA發布立場公告《有效風險管理和控制的三道防線》，強調在公司治理過程中，應平衡風險管理和內部控制。另外，三道防線理論對組織分配和協調風險提供了可行性的路徑，并突出內部審計的獨立性[2]。同年，美國科索委員會（COSO）發布了修訂后的《內部控制——整合框架》，引入了三道防線理論，提升了三道防線理論的影響力，促進其更廣泛的傳播。

2020年7月，IIA對“三道防線模型”進行了修訂，并正式發布了全新的“三線模型”，其應用范圍已從單純的風險管理轉變為聚焦于組織的整體治理[3]。相較于原三線模型，新模型有如下主要改進： ① 注重價值導向，平衡風險管理，強調風險管理的價值創造功能，摒棄舊模型僅以防御風險為核心的理念。 ② 重新界定第二線及其職能，第二線主要為風險管理提供專業知識與支持服務，其核心職能在于為風險相關的事務提供專業知識、支持、監督并提出合理質疑，提升在中小型企業的適配性。 ③ 強調了第三線的獨立性，但明確提出內部審計的“獨立性不意味著完全孤立”，需要與管理層保持定期互動，與各項職能部門溝通協作，與戰略目標保持一致，注重價值保護[4]

三、新三線模型與流程治理

新三線模型強調各項職能部門應深入溝通、緊密協作、戰略協同，將利益相關方的訴求放在首位，致力于共同為組織創造價值并加以保護[5]流程治理被業界認為是確保組織內部流程高效、合規且可持續優化的系統性管理活動，其核心在于通過規范化和動態調整流程助力企業實現戰略目標。兩者在以下方面具有一致性： ① 目標一致性。兩者都致力于提升組織的治理效率和風險管理能力，并確保組織目標的實現。 ② 職能與職責的互補性。新三線模型明確組織管理層負責第一、第二線職能的建設，采取行動實現組織目標；流程治理則致力于打通現有業務管理的痛點與堵點，打破組織間壁壘，實現高效運營和管理，形成訂單到交付的端到端價值鏈，有助于管理職能的交融、完善與互補。 ③ 對風險管控的共同關注。新三線模型與流程治理均將風險管理視為核心關注點，通過識別核心價值流程，對重點風險進行管理與監控，實現價值創造及保護。 ④ 持續改進理念。流程治理通過鼓勵組織不斷審視和改進自身的流程，以適應不斷變化的商業環境，新三線模型則是通過內部審計的反饋和建議，推動組織在治理和風險管理方面的不斷優化。

在新三線模型中，流程治理是連接第一線和第二線職能的關鍵環節。流程治理利用業務流程建模標注（BPMN）構建端到端可視化流程圖，采用流程Owner機制，打破部門間的壁壘，通過技術疊加與數據持續驅動，完成生態協同，便于組織效能提升與成本優化。在實際應用中，流程治理和新三線模型可以相互融合，共同為組織的持續健康發展提供有力保障。例如，組織可以在流程治理的過程中，借鑒新三線模型的職能和職責劃分，明確各個部門在風險管理中的具體職責。同時，也可以利用內部審計的監督和評估功能，對流程治理的實施效果進行定期檢查和評估，以確保其持續改進和優化。

四、流程治理視角下的內審數智化體系構建

隨著大數據、人工智能等數智化技術的蓬勃發展，企業內部審計工作迎來新機遇。通過運用數智化技術，可以實現對審計數據的實時采集、存儲、分析和可視化展示，提高審計工作的透明度和可追溯性。同時，數智化技術還可以為內審人員提供審計建議和解決方案，提升審計工作的質量和效率[6。將內部審計融人到流程治理中，可以實現對流程的全面、深人審查，及時發現潛在風險，并提出有針對性的改進建議，不斷推動流程的優化和完善。運用流程治理思維，構建內審數智化體系，有著堅實的理論支持和清晰的建設邏輯。在流程治理視角下，內審數智化體系的建設有助于延長其端到端流程的價值鏈條，將第一線、第二線的信息延長至審計監督的第三線，利用可視化信息工具，實現跨系統流程鏈路追蹤，推動智能監測體系的持續改進，完善風險監控脈絡，延伸風險治理觸角，提升公司治理效率，擴大審計覆蓋面。

為此，本研究基于新三線模型理念，結合流程治理思維，構建“組織戰略協同-信息技術賦能一內審生態重構”的內審數智化平臺，踐行內部審計獨立而不孤立的原則。主要模型如圖1所示。

（一）內審數智化前臺：數據集成與信息共享

傳統審計面臨信息共享不充分、數據傳遞延遲等現實問題，導致審計效率低下、審計覆蓋面不全。切實解決這些問題，需要建立健全審計數據庫，集成各類系統數據接口，打破信息孤島，全面接入第一線的業務數據，建立清晰的業務流程、數據流程以及系統流程。首先，明確接入的數據標準與數據規范，界定需接入的信息范疇；其次，進行數據接口歸集，鏈接各核心業務系統數據，如制造執行系統（MES）、產品生命周期管理（PLM）系統、企業資源計劃（ERP）系統、供應鏈管理（SCM）系統、倉庫管理系統（WMS）、質量管理系統（QMS）、客戶關系管理（CRM）系統等，形成客戶訂單到產品交付的端到端價值鏈，實現核心價值業務流程數據的全面接人，然后進行數據的有效傳輸與妥善存儲，以完成信息共享機制的構建。

（二）內審數智化中臺：數據處理與風險預警

內審數智化中臺是審計數智化系統的核心。一方面，該模塊建立起了企業業務端到風險控制端的緊密聯系，實現第一線與第二線的耦合。在實務工作中，第一、第二線的職責本身存在著交叉的可能，業務流程嵌入了內部控制的活動要點，為業務開展提供了必要的專業支持或監督功能。另一方面，通過智能化數據處理技術以及風險預警模塊輸出相關異常數據，又形成了第二線與第三線解耦的過程，延長了端到端流程治理價值鏈條，使風險控制端轉向評價咨詢端，推動整體業務的協同發展。

首先，需要對集成的數據進行整合和清洗，以確保數據質量，避免出現因數據過載引發后續數據無法分析的情況。其次，構建相關預警模型，將企業的授權規則、合規控制、關鍵風險點管控措施等納入模型中，設定預警觸發條件，明確業務鏈條的基本合規標準。最后，通過關聯分析、聚類算法等方法挖掘潛在風險點，如異常交易或舞弊跡象，并輸出異常數據進行風險預警。此過程將前臺接收的數據進行整合分析，有效融合了業務端與風險控制端的信息，而且通過對異常風險點的精準定位，又將前端數據進行拆解，形成關注焦點，從而降低了系統整體耦合度，提升風險管理的精準性和效率。

（三）內審信息化后臺：獨立監督與咨詢評價

內審信息化后臺對應著新三線模型的第三線，同時，也將前述已完成的端到端業務流程進行價值鏈延長。此部分內容是內審人員工作的核心。首先，對前述的異常數據進行深入核查，剖析異常成因，分類制定相應解決方案，按照影響金額大小、性質惡劣程度進行相關后續操作，開展相應審計作業流程。其次，進行獨立確認，執行審計業務的線上可視化追蹤流程，此部分亦可能涉及審計線下工作與線上工作的融合。最后，形成審計報告，審計系統對審計缺陷進行持續追蹤，并檢查整改落實情況，完成對審計缺陷整改的閉環管理。管理層及治理層可以根據審計結果對內部控制設計進行改善，或者對執行缺陷進行追責通報。內部審計人員可定期對年度審計工作的經濟效益進行核算與評估，包括通過審計發現并追回的違規資金或損失金額（追贓挽損金額）及改善審計流程所帶來的降本金額或效益增長金額，凸顯內部審計的咨詢功能，助力企業價值提升。

（四）其他支持功能

內審數智化系統涵蓋知識管理、人員管理、系統管理等模塊。 ① 知識管理模塊，系統建立了審計數據庫，持續擴充數據庫資源，并積累建模資源，不斷提升內審人員專業理論與實務操作能力。 ② 人員管理模塊，建立組織人員畫像體系（包括內審人員），用以記錄其基本信息、履職經歷、在司表現、舞弊風險傾向等，對評分較低的人員予以重點關注。同時，系統建立了內審人員績效考核以及獎罰機制，以促進人才隊伍的健康發展。 ③ 系統管理模塊，為確保信息安全，通過設立防火墻和加強數據安全管理等措施，定期進行安全漏洞測試。此外，系統引入大數據、云計算、人工智能等先進技術，推動系統的迭代升級，從而有效擴大審計檢查的覆蓋面，提升檢查效率。

五、結論及啟示

內審數智化轉型是依靠技術工具對審計思維和流程的重構。其本質是通過數據與技術的結合，使審計從“經驗驅動\"轉向“數據驅動”從“被動發現問題”升級為“主動預防風險”從“審計問題點”擴展到“審計問題域”從“事后審計\"轉變為“實時審計”從“合規檢查\"到“價值增值及保護”。企業需結合自身條件，分階段推進技術部署，并同步優化組織流程和合規框架，助力內審職能從“監督者”向“咨詢者\"轉型，為企業戰略決策提供有價值的信息，實現內審與企業發展的深度協同。

參考文獻：

[1]Guidance for boards and audit com-mittees on the implementation ofart41-2bof the8thdirective[R].FederationofEuropeanRisk Management Associationsamp;European Confederation of Institutes ofInternal Auditing，2010.

[2]The three lines of defense in effective risk man-agement and control[S].The Institute ofInternal Auditors，2013.

[3]TheIIA's three linesmodel-anupdate of the three linesof defense[S].The Institute of Internal Auditors，2020.

[4]白華.公司治理的三道防線理論：沿革與探微[J].會計之 友，2024（23）：2-10.

[5]李海濤，張卓.新時代國有企業治理內部審計賦能對策：基 于價值創造和價值保護原則[J].財會月刊，2024，45（3）： 81-88.

[6]張天培，趙卉，王健，等.內部審計數智化：建設動因、邏輯機 理與實踐路徑[J].財會通訊，2025（1）：138-145.

責任編輯：田國雙